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摘 要 : 基于 属性 加 密 的 位 置 WA 不 仅 解决 了 社交 

、 享 问题 al 密 效率 得 以 提升 。 但 在 系统 运行 过 程 中 ， 存 在 用 户 有 更 正 自己 属性 信 
需求 或 运行 过 程 中 部 分 私 钥 遵 泄 露 的 可 能 ， 因 此 支持 撤销 对 于 系统 安全 非常 必要 。 基 于 此 提出 了 一 种 支持 撤销 的 

位 置 分 层 属 性 加 密 方案 ， 将 部 分 解 eg 并 结合 了 双 因 子 身份 认证 的 方法 。 该 方案 在 减少 用 户 的 

计算 代价 的 同时 ， 提 高 了 工法 的 安全 性 。 
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Research on encryption of location hierarchical attributes Supporting revocation 
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Abstract: The location-based hierarchical access scheme based on attribute encryption allows users to flexibly set their own 
ls location access information according to their own situation. Not only solving the problem of location sharing in social networks, 


but also improving the algorithm to improve the decryption efficiency. However, during the operation of the system, there is a 


possibility that the user has corrected his own attribute information or the private key may be leaked during the operation, 
supporting the withdrawal is very necessary for System security. Based on this, a location hierarchical attribute encryption 
Scheme supporting undo is proposed, which outsources part of the decryption operation to the decryption server and combines 
the method of two-factor identity authentication. This solution reduces the user's computational cost and improves the security 


of the algorithm. 
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针对 上 述 问 题 , Lin 等 人 中 在 传统 的 基于 属性 加 密 算 法 上 的 
基础 上 提出 了 基于 属性 加 密 的 新 算法 ， 并 借鉴 文献 [4,5] 中 的 线 

云 存储 是 一 种 基于 云 计算 建立 起 来 的 网 络 存 储 技术 ， 随 着 。 ”性 秘密 共享 方案 设计 了 一 种 位 置 分 层 访问 控制 方案 ， 该 方案 以 
互联 网 的 飞速 发 展 ， 云 存储 也 成 为 信息 技术 领域 研究 的 热点 。 属性 加 密 和 对 称 加 密 混合 的 方式 加 密 用 户 位 置信 息 ， 让 用 户 可 
近年 来 各 种 定位 服务 逐渐 增多 ， 在 分 布 式 开放 的 网 络 环境 下 ， 以 根据 自己 的 需求 设 定位 置信 息 访问 策略 。 但 是 用 户 权限 会 随 
社交 网 络 中 的 用 户 可 以 享受 多 样 性 的 定位 服务 ， 比 如 车 辆 的 导 ”着 用 户 修改 属性 发 生变 化 , Lin 等 人 所 提 的 方案 中 , 并 不 能 实现 
航 服务 , 酒店 查询 服务 等 。 但 用 户 在 享受 服务 多 功能 性 的 同时 ， 属性 的 及 时 撤销 。Pirrett 等 人 中 于 2006 年 又 提出 了 密 文 策略 的 
也 注意 到 了 社交 软件 中 存在 的 安全 性 问题 。 为 了 提高 自身 定位 属性 撤销 方案 ， 其 思想 是 中 央 机 构 周 期 性 更 新 被 设 定 有 效 期 的 
言 息 的 安全 性 ， 相 关 的 位 置信 息 保护 方法 也 得 到 重视 。 目 前 保 届 特 遇 性 即 可 达到 用 户 撤销 的 目的 。Hur 等 
护 个 人 位 置信 息 的 常用 方法 大 致 可 以 分 成 两 类 : 空间 位 置 隐藏 人 外 在 2011 年 提出 一 种 支持 撤销 的 属性 基 加 密 方案 , 可 以 在 外 
技术 中 和 虚假 定位 技术 中， 这 两 种 方法 都 是 通过 模糊 用 户 的 位 包 的 环境 下 实现 细 粒 度 访问 控制 ， 但 不 能 抵抗 用 户 合谋 攻击 。 
信息 、 制 造 虚假 信息 来 混淆 攻击 者 , 以 达到 保护 信息 的 目的 ， Zhao 等 人 提出 了 一 个 两 方 计算 的 可 撤销 CP_ABE 方案 , 需要 
但 是 都 不 能 允许 用 户 进行 细 粒 度 的 访问 控制 ， 也 不 能 根据 用 户 ” ”将 属性 中 心 拆 分 为 属性 权威 和 中 央 控 制 。 
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的 特定 需求 提供 最 简洁 的 位 置信 息 ， 同 时 也 很 容易 导致 信息 被 在 分 布 式 开放 的 网 络 环境 下 ， 对 使 用 者 的 身份 认证 是 确保 
泄露 。 安全 的 基础 和 关键 。 双 因子 身份 认证 技术 弥补 了 传统 密码 认证 
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方法 中 的 存在 的 某 些 弊端 。 


沈 学 利 ， 


也 为 用 户 登 录 提 供 了 安全 性 保障 。 


1999 年 ，Yang 等 人 00 推 出 


了 第 


案 


有 条 ;上 上 


统 方案 的 一 
Das 等 人 M1 提 
决 了 信息 遭 


受 攻击 的 问题 。 


重要 的 匿名 双 因 子 方案 中 进行 密码 分 析 后 提出 了 


式 系统 中 的 双 因 子 身份 验证 
全 性 更 强 。 


2015 年 ， 


个 基于 智能 卡 的 密码 认证 方 
没有 设置 一 个 敏感 信息 存储 表 ， 这 是 该 方案 相 较 于 传 
个 关键 优势 .为 了 保护 与 静态 用 户 相 关 
出 了 一 种 可 行 方法 ， 即 采用 “动态 ID 技术 ”， 解 
Wang 等 人 通过 对 两 个 最 
一 个 分 布 


的 ID 信息 ， 


方案 (和 ， 经 分 析 与 验证 ， 该 方案 安 


为 了 解决 上 
方案 05， 
方案 支持 细 粒 度 的 属性 撤销 
为 了 减少 用 户 的 计算 负担 将 


述 问题 ， 参 考 已 


的 支持 撤销 的 CP_ABE 解密 
本 文 提 出 了 一 种 可 撤销 的 位 置 分 层 属性 加 密 方案 ， 本 


和 用 户 撤销 , 提高 了 系统 的 安全 性 。 


解密 时 复杂 的 计算 外 包 给 代 


E 问 ， 


使 系统 更 为 灵活 。 又 结合 口 


己 有 的 匿名 双 因 子 认证 机 制 09， 


步 保 护 用 户 的 隐私 与 数据 安 
1 ”相关 知识 
双 线 性 映射 


1.1 


G 和 G, 是 乘法 循环 群 ， 


1) 双 线性 
对 于 Yu,ve Gi,a,b e 2Z, 


2) 非 退化 性 


3u,ve G 使 得 e(u,v) 1; 


3) 可 计算 性 


全 


， 有 e(u",v) =e(u,v)®; 


9 


对 于 Yu,v eG ,可 以 有 效 计算 出 e(u,v) 。 


1.2 ”线性 秘密 共享 
定义 参与 者 集合 


足 如 下 两 个 条 件 ， 则 为 线性 


a) 每 个 参与 者 的 秘密 值 表示 Z, 上 的 一 个 向 量 。 
数 将 矩阵 M 的 每 一 行 
。 随 机 选择 列 向 量 
V=(s,,..,1) ,其 中 seZ,,s 表示 秘密 值 为 Z, 中 的 一 组 随 
1,4, 是 秘密 s 的 第 i 个 值 ， 人 属于 


b) MM 是 一 个 1xh 的 外 
对 应 一 个 属性 值 ， 第 i 行 久 


机 数 。 令 A= Mv,i=1,2,...， 


参与 者 p(i) 。 


应 第 


的 。 


下 阵 ， 上 映射 函 


i 个 属性 


每 个 线性 秘密 
访问 结构 A 的 一 


享 方案 都 满足 线性 重组 的 性 
个 线性 秘密 共享 方案 


阶 为 素数 p。 满 足下 列 属性 : 


进 一 


为 P， 如 果 了 上 的 某 一 个 秘密 共享 方案 满 


质 : 假设 3 是 
,S 是 A 中 的 任意 授权 集 


合 ， 定 义 T={fi:poessl 如 果 {A} 是 秘密 S$ 的 有 效 值 ， 就 一 定 


存在 常数 集合 


{@, SZ jor ， 


1.3 Diffie-Hellman DBDH 
挑战 者 基于 系统 的 安全 


使 得 2 w = >. 
iel 


假设 


参数 ， 随 机 选取 a,b,c,t e Z, 


双 线性 映射 。:G xG ->G,，g 为 G 的 生成 元 , 素数 了 是 群 组 


G,G, 的 阶 。 


敌手 优势 为 Pr =b1]-1/2， 且 无 法 


中 (g",g?,g*,e(g,8)') 判定 出 (g*,g',g°,e(g,8)™)- 


以 不 可 忽略 的 优势 从 
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1.4 ” 双 因 子 身份 认证 
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双 因 子 身 份 认 证 分 以 下 两 个 阶段 : 注册 阶段 ， 验 证 阶段 。 


其 中 8$ 为 服务 器 ,x 为 S 的 私 多 


P 为 椭圆 EH 
1) 注 


线 EE, 的 基点 ，| 


上 阶段 


选择 一 组 随机 数 。 


户 U, 选择 自己 的 身份 JID， 并且 自由 设置 密码 PW 。 再 
随后 用 户 通 


有, 蛤 希 函 数 轨 (): {0,1} -> {0,1}， 
户 注册 时 间 为 T。 


过 安全 信道 将 信息 


发送 至 服务 


器 S。 则 服务 器 从 用 户 U, 处 收 到 请 求 
{1D.,H,(PW ||n)} 


服务 器 S 选择 随机 数 m, 


继续 发 送 给 / 


2) 验 证 阶段 


当 用 户 U, 想 要 访问 服务 器 S 时 , 用 户 将 插入 智 
入 自己 的 身份 JD, ， 密 码 PW 。 


计算 安全 的 参数 
Q=H(PW|n)® HUD xD 
jj 户 : SU,:0 

] 户 将 私 钥 n, ， 安 全 参数 Q 存 入 智能 卡 中 。 


能 卡 ， 并 输 


智能 卡 进 行 预先 计算 


Q =H(PW |n) ® H(ID, xIT) 


e=axP,c=axP 


存储 并 保留 信息 


{C ,e,c， 


计算 MM 
务 器 S。 


=(ID, I HUD, 


a} 


| 户 计算 4(D, xl17)= HCPW Ib)+Q， 选 择 随机 数 a,， 
Ixl7D) O40) HO), 


将 信息 返回 给 服 


S 选择 随机 数 a,, 进 行 以 下 计算 : 


H(exx)®(ID HUD xT) a) OH()=H(exx)+M, 


M,= H(H(UD., | xll7) a, lle) 


SK=H(M,|lella, xaxP 
M;=H(SK | H(D,| 
SU,:{M,,M,} 


) 


收 到 S 的 回复 后 ， 


户 计算 : 


DM, lla, lle) 


SK =H(M,|lella, xa,xP) 
Ms = H(SKII HOUD, I DM, la, le) 


若 M， =H(SK | 
U, 的 请 求 。 反 之 ， 则 
1.5 安全 模型 
本 方案 通过 


挑战 者 和 敌手 之 间 的 对 弈 游戏 来 描 ) 


| U, 5: {NULD) 

户 计算 M, =M， 

1s 收 到 M4 后 ,执行 以 下 操作 

五 (DDNM, la le =M， 那 么 S 准许 
户 被 拒绝 。 


述 支 持 撤 销 


的 位 置 分 层 加 密 方 案 的 多 


全 模型 。 


体 过 程 如 下 : 


Setup0 挑战 者 运行 算法 Setup0, 输 入 公共 参数 ppa ， 


将 输出 的 公开 密 钥 PK 和 属性 公开 密 钥 PK ， 以 及 公共 参数 发 送 
给 敌手 。 
Phase 1 “挑战 者 提交 一 个 集合 万 = {71,,} 并 设置 整数 k=0， 


敌手 可 以 向 挑战 者 重复 进行 如 下 询问 : 
转换 密 钥 询问 : 挑战 者 选择 k=k+1, 随 后 运行 I。 外 包 密 钥 
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算法 ， 挑 战 者 返回 相应 的 转换 密 钥 TK。 
查询 : 敌手 提交 一 个 对 应 于 的 访问 策略 进行 

查询 ， 再 将 生成 的 相应 属性 密 钥 SK 传送 给 攻击 者 。 
敌手 提交 两 个 长 度 相等 的 信息 Mo,Mi1 和 Jy* ， 
其 中 工 , 对 应 的 解密 密 钥 不 能 满足 y 的 访问 策略 。 挑 战 者 随机 
选择 选择 pe {0,1} ， 并 以 y* 加 密 MY ，, 将 加 密 后 的 CT” 发 送 给 
敌手 。 

Phase 2 类似 phasel， 
的 密 钥 对 cT* 进行 解密 。 


Challenge 


但 敌手 不 能 直接 查询 可 以 解密 MM 


b 


Guess ”敌手 输出 对 b 的 猜测 值 py ， 若 py =p， 则 敌手 获得 
成 功 。 该 实验 过 程 中 ， 政 手 的 优势 为 
Pr[bp=b]-1/2=0。 
定义 1 如 果 任 何 多 项 式 时 间 敌 手 在 实验 过 程 中 都 无 法 以 


不 可 忽略 的 优势 赢得 选择 明文 攻击 下 的 安全 游戏 ， 则 该 方案 是 
安全 的 。 


2 ”方案 设计 


本 文 在 基于 属性 加 密 位 置 分 层 访 问 策略 多 的 基础 上 ， 引 入 
解密 外 包 ， 结 合 了 双 因 子 身份 验证 的 方法 ， 提 出 了 一 种 支持 撤 
销 的 CP_ABE 加 密 方案 。 

2.1 用 户 注 册 及 系统 初始 化 

a) 服务 器 S 选取 一 个 椭圆 曲线 E, ，G 为 阶 为 n 的 基点 ， 
P=xxP 为 系统 的 公 钥 。 用 户 输 入 自己 的 ID 和 PW。 

S 从 U, 处 收 到 用 户 的 请 求 并 随机 选择 参数 m ， 计 算 
Q=H(PW ln)@H(D, ||x||7) 。 将 安全 参数 发 送 给 用 户 , 用 户 
保存 私 钥 n ， 注 册 完 毕 。 

b》Setup(1^): 定 义 一 个 哈 希 函数 及 :{0,1} ->G 和 有 效 的 双 
线性 映射 e:G xG 一 G,，G, 和 G, 两 个 阶 为 素数 p 的 乘法 循环 
群 ，g 是 G 的 生成 元 。A 表示 主 属性 集合 A={h, 及 ,…, 及 }， 其 


中 及 ,hb,…,h eG ， A 为 次 要 属性 集合 A'={n,1,…,n,}， 
mm e 2, 为 系统 中 每 一 个 属性 设置 主 属性 编号 V ,次 属 
性 编号 V，. 
系统 进行 初始 化 ， 以 安全 参数 1 作为 输入 ，AA 随机 选择 
,meZ， 计 算 系 统 公 钥 
a C pb no 
PAK-< ge(8,8) ,8 ,8 hbo 和 h， 和 公开 属性 密 钦 
go ,ge " "HH > 
PK -sw ， PK,=gw 再 设 置 主 密 铀 


MSK={ Q,B,no,{ Vj}wss{Vw}sw} ,AA 秘密 保留 MSK。 最 后 
将 PK 和 PK, 、 PK 发送 给 代理 商 。 
2.2 加 密 算法 

Brcrypt(PK, PK ,0 ,op): 数 据 拥 有 者 依据 用 户 位 置信 
息 的 分 层 策略 使 用 对 称 加 密 算法 (以 EE 表示 ) 生成 三 组 对 称 密 
钥 ki,kz,k3， 直 接 将 对 称 密 钥 ki,kz,ks 定义 为 密 文 。 随 机 加 密 位 
置信 息 mi,mw,m3, 得 到 加 密 密 文 


Ex (m1), Er (1m,), Er (ms) 
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输出 密 文 CM =< EE 0m), 已 (m5), Ei (oa) >. 
步 对 对 称 密 钥 ki,kz,k3 进行 加 密 , 根据 文 
献 [5] 提 到 的 方法 构造 一 个 基于 属性 的 访问 策略 (M,p)， 其 中 的 


LSSS 和 矩阵 用 以 表示 主 策略 P;，M 表示 一 个 1 行 h 列 的 矩阵 ， 
Pp 是 映射 函数 。 随 机 ee .hi)EZ，， 计算 
X=V-M,,i=12,...,1， 其 中 s 表示 待 共享 的 秘密 。 随 机 从 Z, 中 
选择 7,xn,…,n ， 然 后 计算 

C=kegg)” C=g 

(C=g”g" HP" , D=g",(M,p)), ..., 

(C = 8 条 (p(0) D,= 8g",(M,p)) 


以 上 为 第 一 阶段 加 密 。 
Encrypt(PK, PR GD) :在 加 密 k2,k3 的 过 程 中 ,以 
系统 公 钥 PK 中 gw 和 gm 和 mn gs 计算 : 


CD /no 
本 


,8 


C， =ke(g"™, 8g ") 吾 ke(g, 8) 


ee s 3/ my s(n +n4) 
CG, A ke(g”™, 82 m gem m) = ke(g, 8)” m+na 


ES 


对 称 密 钥 密 文 


CT =< C1,C, en ? CC,D)an 


第 二 阶段 加 密 结束 。 
2.3 身份 认证 及 私 钥 生成 

a) 用 户 完成 登录 后 ， 智 能 卡 保留 预先 计算 的 信息 
{Q',e,c,q}， 其 中 @*=H(PW|In)@®H(OD, xT)。 
村 户 选 择 随 机 数 a，， 计 算 
1=(1D HOD Ixl|7)@a)@H(c) 后 ， 将 Mi 发 送 给 S。 
服务 器 进行 如 下 计算 : 

HOUD||x||T)®a)@ HO ID = H(ext)+M, 

M, = H(H(D, ||x||7) lla, lle) 

随后 选择 随机 数 a ,将 计算 所 得 的 
SK=H(M, llella, xa, xP), 
M,;=H(SK | HOUD, I x) NM, lla, |e) 
户 判断 My， 与 M, 是 否 相 等 , 若 不 相等 ,那么 用 户 被 拒绝 ; 
车 相等 ， 用 户 则 继续 计算 M4， 最 后 由 服务 器 执行 计算 
Ms =H(SKIIHOUD, ID ea le) ; 若 M ;不 等 于 M,， 则 用 
户 身 份 验证 失败 ; 若 M， = M,， 用 户 身 份 验证 成 功 。 可 继续 执 
行 私 钥 算法 。 

b) KeyGen(MSK,wu) :用 户 输入 私 钥 MSK，AA 运行 密 钥 产 
生 算 法 ， 随 机 选择 唯一 的 +eZ,， 结 合 主 属性 集合 和 次 要 属性 
集 为 合法 授权 用 户 u 得 到 转换 密 钥 


全 
I 


发 送 至 用 户 处 。 


TK=<K,=g8".g”,K ,=g8":g ht 


{Ka = (gw HC) ,{K. =(g “HO)) 


b=; 


vatteS Vatt ES 


转换 密 钥 TK 发 送 至 代理 商 ， 
信道 发 给 用 户 。 


户 私 钥 SK ={1} 通过 安全 


201811.00133v1 


chinaXiv 


沈 学 利 ， 


2.4 解密 算法 
Decrypt(CT',SK) ”接收 到 用 户 的 请 求 后 ,代理 商 输 入 对 应 
的 转换 密 钥 TK, 密 文 CT, 运行 转换 算法 判断 用 户 属性 是 否 满足 
主 访问 策略 ， 若 满足 ， 则 可 在 多 项 式 时 间 内 计算 得 一 组 常数 
ftws2Zje， 令 Isf12 1,I={i:oDsS,， 且 > wh=s 
立 。 计 算 部 分 解密 密 文 


CT =e(C,K,)/[ [Ce(G,D :eCD,,k0)™ 
iel 


=e(g,8)" -e(g,8)" / (| |,,e(8,8)™) 


=e(g,8)” 
继续 判断 用 户 属性 是 否 匹 配 次 要 访问 策略 ， 利 用 上 阶段 计 
算 结果 得 
e(C',K.)/ ] Tcecc， De(D, Kk )™ 
=e(C,K.)/e(g,8)”” 
=e(g,g)” 
同 解密 第 一 阶段 ,计算 其 余 的 部 分 解密 密 文 


CT, 三 e(g, 98)”™ = (e(g, 9 a 
CT =e(g, 9 =(e(g, gy 


将 部 分 解密 密 文 CT ，CT, ，CT, 发 送 给 用 户 。 用 户 计算 
k, 二 Cl/e(8,8)” 上 ， =C,/ e(g8,8)"™, 
k= Ce(g, 0) 

最 终 通 过 对 称 密 钥 ki,k2,ks 得 到 解密 后 的 明文 信息 : 


m = D, (E, 
2.5 属性 撤销 

该 阶段 撤销 方案 分 为 用 户 撤销 和 属性 撤销 两 部 分 。 

AA 撤销 指定 用 户 时 ， 该 用 户 离开 系统 后 无 法 解密 数据 服 
务 器 里 的 任何 信息 ， 用 户 u 的 访问 权限 被 撤销 。AA 设置 一 个 
撤销 列表 ， 令 RT = RT uU{u} =L 。 位 于 列表 上 的 用 户 将 被 代理 
商 拒绝 返回 部 分 解密 密 文 ， 即 实现 用 户 撤销 。 

撤销 用 户 的 主要 属性 att 时 , 输入 主 密 钥 MSK 和 属性 密 铀 
PK ， 为 该 属性 随机 选择 产生 新 的 属性 编号 立 ，， 属 性 权威 计 
算 并 输出 更 新 后 的 公开 属性 密 钥 PK 并 向 数据 拥有 者 发 布 公 
告 ， 公 开 属 性 公 钥 已 更 新 为 {gv}. 

AA 为 拥有 该 属性 的 用 户 产生 转换 密 钥 的 更 新 密 钥 

= go) ， 并 通过 安全 信道 将 更 新 密 钥 发 送 给 代理 商 ， 
部 分 用 户 仍 拥有 已 撤销 属性 ， 代 理 商 为 其 更 新 后 的 转换 密 钥 为 


Kk (m)), 177> 这 Du CE (m,)), mm = D. CE (710 D)) 


TK =<K,=g":g",K’.=g"".g 


Va es 
{Ku = (8 HC) }vaues ,{K 过 二 (8 HOO)' Ys 
Kia, = K,, ‘UUK > 


®,L=g, 


为 了 避免 新 用 户 满足 访问 策略 时 无 法 访问 之 前 的 密 文 ， 所 
有 访问 策略 里 包含 已 撤销 属性 att: 的 关联 密 文 需要 进行 更 新 。 


发 送 给 代理 


间 ， 代 


AA 产生 密 文 更 新 密 钥 CUK = Dw 
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商 将 所 有 包含 属性 atti 的 密 文 进行 升级 ， 更 新 后 的 密 文 为 


CT =ke(g,8)" oa 
(C= gg”H(pO)™ ， 
(C = gH(p())®', 


ee 
D, = 8",(M,p)) 


ee 二 ke(g gt) a ke(g, 5)2m 


机 Nos aml/no san/noN as(na+n4) 
C,=ke(g",g 5 "8 4 ") = ke(g, 8) < 


CT=<C1,C,,C,, CC De > 


撤销 次 要 属性 ato 时 ， 与 上 述 撤销 主 属性 过 程 类 似 ， 代 理 
商 通过 属性 权威 产生 的 新 的 转换 密 钥 yuk - we -we) 和 密 文 


密 钥 CUK = DT -Vm) 对 TK 和 密 文 CT 进行 更 新 ， 得 到 


TK =< 天 =8" 80K 一 8 8 
{ 开 ss 二 (g HOCO) Ys ,{K 
Kk 有 =K, :UUK > 


at 


4 L=g', 
Va 1 
=(g “ H(x))} 


Vatt es” 


CT=<C 和 CC， CC Dua > 


3 ”安全 性 分 析 


3.1 选择 明文 攻击 

Setup ”挑战 者 初始 化 程序 ， 输 昌 
PK 和 属性 公开 密 钥 PKat. 

Phase 1 

a) 转 换 密 钥 查询 。 敌 手 可 以 重复 询问 已经 掌握 的 主要 属性 
信息 1,4,…,L ,挑战 者 通过 运行 外 包 的 密 钥 算 法 矿 , ,获得 转换 
密 钥 TK 和 私 钥 SK。 根 据 DBDH 假设 ,敌手 的 优势 为 
Prf[b=b]-1/2=0; 此 时 敌手 无 法 获得 与 明文 对 应 的 私 钥 SK。 

随后 输出 


公共 参数 PPA， 公 开 密 钥 


上 上 


TK=<K,=g8"”.g”,L=8g',{K, =(g “HOCO) 


vattsS 


密 钥 TK 发 送 给 敌手 。 

b) 用 户 私 钥 查询 。 转 换 密 钥 TK 对 应 私 钥 SK， 由 于 TK 与 
对 应 的 主 属性 集合 均 不 能 与 密 文 Me 的 访问 策略 匹配 ， 敌 手 试 
图 组 合 不 同 的 转换 密 钥 TK 的 访问 策略 来 攻击 位 置信 息 mi 的 
访问 策略 。 但 本 文中 所 有 属性 的 访问 策略 都 有 随机 参数 t, 根据 
转换 算法 ， 计 算 


e(C , 开 )/ [ec ‘e(D,,k, 0)™ 


节 


输入 用 户 1 和 2 的 参数 tbp， 两 者 试图 联合 并 扩张 自己 属 
性 集 进行 攻击 ， 则 计算 出 结果 
e(8,8) 1e(8 (8 ) 区 ) 
根据 DBDH 假设 ， 此 时 敌手 无 法 计算 出 
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hb 


( 二 . 
SE 


敌手 优势 可 以 忽略 ， 将 SK 发 送 给 敌手 。 


Challenge ”敌手 提交 两 个 明文 信息 Mo 和 Mi, 另外 生成 y* ， 
并 且 ZL 的 所 有 人 解密 密 钥 生 成 私 钥 与 j* 对 应 的 访问 策略 不 匹配 ， 


即 是 无 法 解密 。 挑 战 者 随机 选择 be {0,1} ， 对 明文 Me 进行 加 
密 ， 并 将 密 文 C7* 发 送 给 敌手 。 

Phase 2 重复 phase 1 的 查询 步骤 。 

Guess ”将 敌手 对 5 的 猜测 p' 输 出 ,对 密 文 C7* 进 一 步 作 出 
判断 , 确认 其 是 否 为 Mo 和 Mi 加密 后 的 密 文 , 即 b 是 否 与 bb 的 
值 相等 ， 若 b=p' , 则 敌手 成 功 。 

上 述 过 程 中 ， 敌 手 的 优势 为 Pr[p = 四-1/2 . 
3.2 数据 保密 性 

数据 的 保密 性 定义 为 只 有 合法 用 户 和 数据 拥有 者 可 以 解密 
获得 明文 消息 。 非 法 用 户 , 己 撤销 的 用 户 都 无 法 访问 数据 。 在 
本 文 方案 中 ， 加 密 的 第 二 阶段 的 安全 性 依赖 于 Elgamal 算法 中 
离散 对 数 分 解 的 NPC 问题 。 假 设 未 授权 用 户 已 满足 第 一 阶段 访 
问 策略 (M,o) ， 解 密 获 得 对 称 密 钥 k = e(g,g)“ ， 该 用 户 想 继 


续 攻 击 并 得 到 密 钥 k a Cs/ e(g, g)™ ,ks 二 Cal el(g, ee) » 必 


须 能 够 得 到 随机 数 mn4s。 然 而 从 系统 公 钥 PK 的 
geam ge ge 中 计算 出 na 和 na 的 值 是 难以 实现 的 , 此 
种 计算 问题 属于 离散 对 数 分 解 的 NPC 难题 , 从 而 可 以 验证 数据 
的 保密 性 。 
3.3 抵抗 合谋 攻击 

在 解密 的 第 一 阶段 ， 用 户 必须 首先 得 到 e(g,g)“ ， 才 能 解 
出 对 称 加 密 密 钥 kt+。 通常 的 情况 下 , 若 两 个 用 户 都 不 能 满足 主 


要 策略 ， 则 用 户 不 能 从 1 eC,D :ecD,ba)" 中 恢复 出 秘密 


值 $。 但 也 存在 这 两 个 用 户 会 满足 主要 属性 策略 的 某 一 部 分 的 
情况 ， 此 时 可 以 通过 交换 主 属性 参数 达到 扩展 权限 的 目的 。 
此 将 随机 数 t 引入 转换 密 钥 TK， 本 文中 所 有 的 Kx 都 含有 一 个 
参数 合谋 用 户 无 法 通过 他 们 掌握 的 私 钥 组 合 进行 解密 。 解 密 
第 二 阶段 ， 用 户 的 目的 是 想 要 获取 密 钥 x，k3， 此 时 用 户 车 已 
经 从 第 一 阶段 解密 过 程 中 获得 eCg,g)*， 也 需要 n3, nstn4 配合 
解密 。 本 文 的 系统 并 没有 直接 释放 用 户 希望 的 参数 nnz .nuw 
而 是 选择 释放 次 要 属性 参数 ， 则 用 户 不 能 解密 。 继 续 讨论 ， 当 
两 个 用 户 都 无 法 满足 次 要 属性 策略 时 不 能 访问 存在 于 私 钥 中 的 
m3，n3tn4， 无 法 解密 。 与 部 分 次 要 属性 策略 匹配 的 用 户 ， 可 以 
交换 自身 的 参数 ni,n2,…,ns 进行 配合 攻击 ， 和 第 一 阶段 采用 同 
样 的 思想 , 同样 选择 随机 数 t, 此 时 合谋 用 户 也 不 能 用 组 合 私 钥 


> 


后 向 安 妇 


蜜 之 前 的 密 》 


于 


合作 期 刊 
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“4 


以 撤销 次 要 
被 撤销 的 属性 air 产生 


届 性 att’ 为 例 ? 当 发 9 


性 的 


yp 


] 户 升级 密 钥 TK， 而 撤销 该 属性 


级 ， 同 时 为 相关 密 文 进行 


使 用 自己 之 前 的 密 钥 去 解密 更 新 后 


关 算 法 , 最 终 解密 结果 为 c。 


但 
获得 w,smmy， 


CS13 (YY ， 一 Van 
= -e(g,8) 3 Var Van 


他 们 的 私 钥 是 


性 密 钥 发 送 给 代理 


可 以 解密 之 前 的 密 文 ， 从 
4 ， 方案 分 析 


本 章 主要 给 出 本 文 方案 与 本 
性 、 计 算 效 率 几 方面 
4.1 功能 比较 
从 表 1 可 以 看 出 , 文献 [6] 使 
行 了 优化 ， 但 是 该 方案 安全 性 


新 加 入 的 用 户 在 AA 更 新 重 加 密 密 文 仍 可 以 解 


性 撤销 时 ,AA 便 会 为 
,并 为 未 撤销 该 属 
户 不 能 进行 密 钥 升 
勇 性 att' 的 用 户 试图 


的 密 文 ， 根 据 数据 解密 的 相 


) , 而 敌手 不 能 


一 Vn， 所 以 无 法 解密 获得 k2。 对 于 新 加 入 的 用 户 ， 
FE 密 钥 CUK 生成 。AA 将 更 新 的 属 
里 商 负责 升级 相关 密 文 ， 所 以 新 用 户 
确保 了 方案 的 后 向 安全 。 


日 关 方 案 [3，5$，6，8，9] 在 功能 


晶 性 加 密 并 对 算法 进 
成 少 计算 成 本 上 有 待 提升 。 文 


献 [8] 实 现 了 属性 级 


的 立即 撤销 能 力 ， 但 是 没有 实现 细 粒 度 的 访 


问 控 制 。 文 献 [9] 提 出 的 无 密 钥 


度 访问 控制 ， 但 需要 


由 与 分 层 属性 加 密 相 结 合 。 本 文 有 有 


肖 属 性 方案 实现 了 细 粒 
| 算 ， 不 能 很 好 
匡 础 上 支持 


用 户 撤 销 与 属 


性 撤销 ， 将 解密 过 程 中 的 大 量 计算 外 包 给 了 代理 


稀 ， 减 少 了 J 


站 的 计算 负担 。 


Table 1 Comparison of scheme functions 


方案 ”访问 结构 类 型 撤销 机 制 


撤销 粒度 。 支持 位 置 分 层 解密 外 包 


文献 [3] access tree 


文献 [5] LSSS 
文献 [6] LSSS 
文献 [8] access tree 
文献 [9] LSSS 
本 文 方案 LSSS 


加 


不 下 


宾 
三， 不 
元 分 
下 不 
官 全 
下 = 
古 
县 
碟 


4.2 效率 分 析 


本 文 主要 是 针对 文献 [6] 的 安全 性 问题 和 
结合 支持 撤销 功能 和 解密 外 包 的 方案 ， 与 此 同 
位 置 分 层 多 次 加 密 的 亿 
成 影响 。 因 此 本 文通 过 对 
进行 分 析 ， 从 表 2 和 有 


参数 的 方式 来 实现 解密 。 经 验证 ， 本 文 的 方案 是 可 以 抵抗 合谋 
攻击 的 。 
3.4 前 向 安全 和 后 向 安全 

前 向 安全 : 被 撤销 属性 的 用 户 无 法 解密 更 新 后 的 密 文 访问 
关联 该 属性 的 密 文 ， 即 使 他 持 有 该 属性 。 


[ 算 量 问题 ， 提 出 


时 要 保证 原 方案 
势 得 以 延续 ， 并 对 加 密 解 


密 效 率 不 会 造 


盟 性 加 密 的 效率 


功能 后 不 会 影响 


原 方案 的 加 密 效率 ,| 
对 比 过 程 中 使 | 

示 模 指数 运算 ， 

示 。 


| 


DT 


导 用 户 解 密 负 担 减 少 。 
符号 描述 定义 如 下 : p 表示 双 线 性 对 运算 , e 表 
分 别 用 a, b 表 


表 2 两 次 加 密 效率 分 析 


Table2 Efficiency analysis of two times attribute encrypton 


沈 学 利 ， 等 : 一 种 支持 撤销 的 位 置 分 层 属性 加 密 研 究 


方案 ”结构 类 型 相关 属性 个 数 ”加 密 计 算 量 解密 计算 量 
文献 [3] access tree atb (4at4b+2)et2p (2at2b)et+(2at2b+4)p 
文献 [5] ”LSSS atb (6at6b+2)et2p (2at2b)et(4at4b+2)p 
文献 [6] LSSS atb (3a+l)e+2p (a+l)e+(2a+2)p 
本 文 方案 ”LSSS atb (3atl)et2p 2etp 


表 3 三 次 加 密 效率 分 析 


Table3 Efficiency analysis of three times attribute encrypton 


方案 ”结构 类 型 相关 属性 个 数 ”加密 计 算 量 解密 计算 量 
文献 [3] Access tree atb (6a+6b+3)e+3p (3a+3b)e+(3a+3b+6)p 
文献 [5] 。 LSSS atb (9a+9b+3)e+3p (3a+3b)e+(6a+6b+3)p 
文献 [6] ”LSSS atb (3atl)et3p (a+2)e+(2a+2)p 
本 文 方案 ”LSSS atb (3a+l)e+3p 3etp 


5 ”结束 语 


本 文 提出 的 一 种 支持 撤销 的 位 置 分 层 属性 加 密 的 方案 ， 在 
不 影响 加 密 效 率 和 分 层 功能 的 前 提 下 ， 结 合 了 双 因 子 身份 认证 
机 制 ， 增 强 了 系统 安全 性 ， 提 升 解密 效率 ， 减 少 用 户 计算 量 ， 


方案 也 具有 保密 性 和 抵抗 用 户 合谋 攻击 的 优点 。 本 文通 过 对 方 
案 进 行 功能 对 比 和 效率 分 析 ， 结 果 表 明 所 提 方案 具有 较 高 的 解 
密 效率 和 一 定 的 安全 性 。 
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